Pesquisadores da Koi, uma empresa de segurança da informação, estão monitorando o desenvolvimento do perigoso malware GlassWorm. A versão mais recente desse software foi usada não apenas em campanhas em larga escala contra usuários do Windows, mas também foi observada em ataques direcionados a dispositivos macOS.
Fonte da imagem: https://hothardware.com
O malware GlassWorm é distribuído através da injeção de código malicioso em extensões legítimas do VS Code. Os atacantes utilizam caracteres Unicode visualmente invisíveis, tornando extremamente difícil para os desenvolvedores detectarem qualquer atividade suspeita no código de seus produtos.
Ao direcionar o ataque para usuários do macOS, os desenvolvedores do GlassWorm demonstraram um alto nível de especialização. A versão mais recente do malware foi criada especificamente para explorar ao máximo os recursos do ambiente macOS. O GlassWorm utiliza AppleScript para executar código de forma oculta, e os LaunchAgents garantem presença persistente no sistema. Entre outras coisas, o malware pode roubar dados armazenados no Keychain.
O motivo da mudança de estratégia dos atacantes permanece desconhecido. Especialistas acreditam que isso pode estar relacionado ao interesse principal dos criadores do GlassWorm em criptomoedas. Computadores macOS são amplamente utilizados por desenvolvedores em diversos setores, incluindo startups de web3 e criptomoedas, tornando esses dispositivos um alvo atraente para atacantes.
O que torna a nova versão do GlassWorm particularmente perigosa é sua capacidade de atacar carteiras de hardware de criptomoedas. O malware pode substituir os aplicativos usados para gerenciar essas carteiras, contornando a proteção fornecida pelo armazenamento de chaves em hardware. Essa funcionalidade está presente no código do malware e não está sendo usada pelos atacantes, mas pode ser explorada mais cedo ou mais tarde.